Microsoft Graph Data Connect のトラブルシューティング

  • [アーティクル]

Microsoft Graph Data Connect を使用すると、分析、インテリジェンス、ビジネス プロセスの最適化のためのアプリケーションを作成するために、Microsoft 365 データを Azure に拡張できます。 この記事では、Microsoft Graph Data Connect を操作するためのトラブルシューティング情報を提供します。

その他の質問については、 Data Connect チームにお問い合わせください。

最初のパイプラインを実行するときのサービス プリンシパルのチェックに関する問題

初めてパイプラインを実行するときに問題が発生する場合は、ソースリンクサービスの所有者を次のように定義していることを確認します。

  • サービス プリンシパルの所有者は、別のサービス プリンシパルではなく、テナント内の有効なユーザー アカウントである必要があります。

  • 所有者のアカウントには、次のものが必要です。

    • Exchange Online ライセンスまたはOffice 365または Microsoft 365 ライセンス内のExchange Online プランを使用した有効なメールボックス。

    • 割り当てられているOffice 365またはMicrosoft 365 E5 サブスクリプション。 ユーザーが個別のExchange Online ライセンスを持っていない限り、ライセンス内の特定のサービスを有効にする必要はありません。この場合、Exchange Online プランを有効にする必要があります。
      メモ:このアカウントでは、グローバル 管理 ロールを有効にする必要はありません。 これは、管理センターを通じて要求を承認する承認者アカウントにのみ必要です。

    • Data Connect は Privilege Access Management システムを使用して同意要求を生成するため、E5 ライセンスが必要です。 詳細については、「 PAM との統合 」と「 特権アクセス管理の概要」を参照してください。

  • 所有するメンバーがテナントのシステムで無効になった場合、テナント内の現在の有効なユーザーがアカウントを所有していない限り、パイプラインはこのチェックに失敗します。 所有権に変更がある場合は、要件を満たす別のメンバーに所有アカウントが更新されていることを確認します。

PAM 承認者の問題

指定したパイプラインの実行または抽出に対してテナント内のジョブの承認に問題がある場合は、テナント内の承認者が次の条件を満たしていることを確認します。 ジョブを正常に承認するには、指定された承認者に特定の特権を付与する必要があります。

  • 承認者は、他のサービス プリンシパルやグループではなく、テナント内のアクティブなユーザー アカウントである必要があります。

  • ユーザー アカウントには、Exchange Online機能とメールボックスを持つOffice 365またはMicrosoft 365 E5 ライセンスが必要です。

  • 承認者がMicrosoft 365 管理センターを通じてジョブを承認する場合は、グローバル管理者特権が必要です。 PowerShell スクリプトを使用してジョブを承認する場合、グローバル管理者特権は必要ありません。

複数地域テナントの抽出に関する問題

お客様がパイプラインに他のリージョンを追加したい場合があります。特に、マルチ geo テナントを持つ大規模な顧客です。 複数地域テナントでは引き続き Microsoft Graph Data Connect を使用できますが、顧客がデータを要求する場合は、1 つのリージョンのデータのみを抽出できることに注意してください。 顧客は、1 つのパイプラインを使用して複数のリージョンからデータを抽出することはできません。 Data Connect では、顧客のテナント ユーザーのプライバシーとセキュリティに対してこの規則が適用されます。

複数地域テナントを持つお客様がデータを抽出する場合は、次の点に注意してください。

  • Data Connect では、テナントと同じリージョンからデータセットを抽出することのみが許可されます。 たとえば、ヨーロッパ (EUR) にテナントがあり、北米 (NAM) でユーザーのパイプラインを実行する場合、NAM のパイプラインを指定したため、NAM 内のユーザーのデータのみが取得されます。

  • 複数地域テナントは、リージョン固有のパイプラインを設定することで、テナントのデータを抽出できます。 たとえば、1 つのリージョンがそのリージョンの 1 つまたは一連のパイプラインにマップされます。

複数の JSON ファイル出力の集計

ファイルを結合するには:

  1. 抽出後に新しい データのコピー アクティビティ を追加します。

    コピー データ アクティビティを示す Microsoft Azure のスクリーンショット

  2. 新しいアクティビティのソースを、ファイル (Azure Storage) を抽出した場所に設定し、ファイル形式を JSON に設定し、パスの種類として ワイルドカード ファイル パス を指定します。

  3. [ シンク ] タブで、結合されたファイルを作成する場所を指定し、[ ファイルのマージ ] 動作を選択していることを確認します。

サーバーレス SQL プール サービスの接続に関する問題

Azure Synapseを宛先ストレージ アカウントに接続するときに、「Notebook websocket 接続の問題」で説明されている問題と同様の問題が発生する可能性があります。 この問題は、Synapse と、顧客のインターネット プロキシで既定でブロックされているデータを取得するためにブラウザーで Websocket を設定する方法に関連しています。

この問題は、SSP 要求で解決できます。 INTERNT PROXY (SWG) - EXCEPTION ON SECURITY FILTERING POLICY

Azure 統合ランタイムでリストを許可するネットワーク IP アドレスの追加に関する問題

パブリック アクセスのために宛先ストレージ アカウントを閉じる必要がある場合は、特定の Azure サービス IP アドレスのセットに対するアクセスを許可する必要があります。 お客様は、対象となる Office リージョンに基づいてリスト IP を許可する必要があります。 これを行うには、次の手順を実行します。

  1. Office から Azure へのリージョン マッピングを見つけます。 ユーザー データを抽出する Office リージョンを検索するには、次の表を参照してください。

注:

パイプラインを実行している Azure リージョンは、テナントのユーザーを抽出するために Office リージョンにマップする必要があります。 Microsoft Graph Data Connect は、リージョン間でデータを抽出しません。 たとえば、西ヨーロッパ Azure リージョンでパイプラインを実行している場合、西ヨーロッパ Azure リージョンはヨーロッパ Office リージョンにマップされるため、ヨーロッパ (EUR) Office リージョンのユーザーのみが抽出されます。

  1. Office から Azure へのマッピングを見つけたら、移行先ストレージ アカウントの互換性のある場所を特定する必要があります (次の表を参照)。 Azure ストレージ アカウントを構成し、 インターネット IP 範囲からアクセス権を付与する方法を確認できます。

注:

これは、 パブリック アクセスのために閉じられたときに、ターゲット ストレージのリージョンごとに使用できない可能性がある Azure リージョンを示します。 これは、データ配信を許可するために IP アドレスを許可リストに追加する必要があるリージョンでもあります。 IP 範囲を見つけるには、「 Azure IP 範囲とサービス タグ」を参照してください。

この宛先ストレージ領域の制限の詳細については、次を参照してください。

 

Office の地域 Azure リージョン 使用する代替 Azure リージョン
アジア太平洋
  • 東アジア
  • 東南アジア*
 該当なし
オーストラリア
  • オーストラリア東部
  • オーストラリア南東部*
 該当なし
ヨーロッパ
  • 北ヨーロッパ
  • 西ヨーロッパ*
 該当なし
北アメリカ
  • 米国中部
  • 米国東部*
  • 米国東部 2
  • 米国中央北部
  • 米国中央南部
  • 米国中央西部
  • 米国西部
  • 米国西部 2
 該当なし
英国
  • UK South*
  • 英国西部
 該当なし
カナダ (CAN)
  • カナダ中部
  • カナダ東部*
 該当なし
日本 (JPN)
  • 西日本
  • 東日本*
 該当なし
インド (IND)
  • インド南部*
  • インド中部
 該当なし
韓国 (KOR)
  • 韓国中部
  • 韓国
 該当なし
スイス (CHE)
  • スイス北部
  • 北ヨーロッパ
  • 西ヨーロッパ
ドイツ (DEU)
  • ドイツ中西部*
  • 北ヨーロッパ
  • 西ヨーロッパ
ノルウェー (NOR)
  • ノルウェー東部*
  • 北ヨーロッパ
  • 西ヨーロッパ
フランス (FRA)
  • フランス 中部*
  • 北ヨーロッパ
  • 西ヨーロッパ
アラブ首長国連邦 (UAE)
  • アラブ首長国連邦北部*
  • 東アジア
  • 東南アジア

注:

  • この時点で、ユーザーを抽出するリージョン (Office と Azure リージョンのマッピングとは何か) を理解し、構成できます。
  • お客様は、移行先のストレージ アカウントが存在できないリージョンを理解できます。
  • 互換性のある宛先ストレージ アカウントに基づいて、この情報を使用して、許可リストに追加する必要がある IP アドレスを把握できます。

  1. 許可リストに追加したのと同じリージョンに新しい統合ランタイムを作成するか、設定と設定に応じて自動解決を使用できます。 同じリージョンに新しい IR を作成することをお勧めします。 詳細については、「Azure Integration Runtime IP アドレス: 特定のリージョン」を参照してください。

    • 自動解決 IR を使用している場合、リージョンはいくつかの要因によって異なります。 詳細については、「 Azure IR の場所」を参照してください。

ネットワーク アクセスと Azure IR の例

次の例では、ネットワーク アクセスの問題のトラブルシューティング方法について説明します。

  1. ユーザーは、ヨーロッパ (EUR) Office リージョンのユーザーのデータを抽出する必要があります。 Office と Azure リージョンのマッピングを識別します。 Office リージョンは EUR であるため、Azure リージョンは西ヨーロッパにあります。

  2. 最初は、すべてのリソース、ADF、ストレージ アカウントが西ヨーロッパの Azure リージョンにあります。

  3. ユーザーは、パブリック アクセスのために宛先ストレージ アカウントを閉じました。

  4. ユーザーは、抽出する Office リージョン (EUR) に基づいて、互換性のある宛先ストレージ アカウントの場所を特定する必要があります。

  5. ストレージ アカウントと同じリージョンに許可リスト サービスを追加できないため、移行先のストレージ アカウントを西ヨーロッパの Azure リージョンに追加することはできません。 北ヨーロッパで新しいストレージ アカウントを作成できます。

  6. Data Connect 内部サービスがデータをコピー先ストレージ アカウントにコピーするには、Office リージョン (EUR) に基づいて互換性のあるリージョンの許可リストに IP アドレスを追加する必要があります。 西ヨーロッパの Azure リージョンの許可リストに ADF パブリック IP を追加する必要があります。

  7. ADF リンク先サービスが宛先ストレージ アカウントにもアクセスするには、西ヨーロッパリージョンでIntegration Runtimeを作成して使用するか、代わりに自動解決 IR を使用する必要があります。

  8. Office リージョンが EUR で、Azure リージョンが西ヨーロッパであるため、ユーザーはこれらの IP アドレスを一覧表示し、宛先ストレージを北ヨーロッパに移動します。

マッピング データ フローを使用したパイプラインの実行に関する問題

Microsoft Graph Data Connect の初回実行と、新しいデータセットのマッピング データ フロー アクティビティがエラーで Consent Pending 失敗することが予想されます。 これにより、テナント管理者の同意要求がトリガーされ、 Privileged Access Management を使用してデータ アクセス要求を確認および承認/拒否できます。 この問題を解決するには:

  1. 同意要求は 24 時間のみ有効です。 この期間内に承認するには、テナント管理者に問い合わせてください。

    a. その期間内に承認されていない場合、後続の実行は同じエラーで失敗し、同意要求を再生成します。

    b. 承認されると、パイプラインをいつでも再実行してデータを取得できます。

    Microsoft Graph Data Connect とマッピング データ フローが初めて実行された場合のエラーを示す画像

  2. アプリがデータを書き込むための宛先ストレージが正しく設定されていることを確認します。

アプリの登録に関する問題

次のシナリオでは、Microsoft Entra アプリを Microsoft Graph Data Connect に登録するためのトラブルシューティング情報を提供します。

承認なし

Azure portalの Microsoft Graph Data Connect エクスペリエンスでは、Microsoft Fabric アプリの登録を作成または更新すると、課金目的で Microsoft.GraphServices 型のリソースの作成が試行されます。

課金リソースの作成時に発生したエラーを示すスクリーンショット。

前の画像は、 Microsoft.GraphServices リソース プロバイダーが登録されておらず、選択したサブスクリプションに登録するためのアクセス許可もないことを示しています。 サブスクリプション管理者にこのリソース プロバイダーの登録を要求する必要があります。 詳細については、「 Azure リソース プロバイダーと種類」およびMicrosoft Graph で従量制課金 API とサービスを有効にする」を参照してください。 次の図は、登録済みの Microsoft.GraphServices リソース プロバイダーを示しています。

登録する必要がある Microsoft.GraphServices リソース プロバイダーを示すスクリーンショット。

サブスクリプション管理者は、次の Azure CLI コマンドを使用して、必要なプロバイダーとリソースを作成することもできます。

リソース プロバイダーを登録します。

az provider register --namespace 'Microsoft.GraphServices'

アプリの課金リソースを作成します。

az resource create --resource-group <resource_group_name> --name mgdc-<app_id> --resource-type Microsoft.GraphServices/accounts --properties  "{`"appId`": `"<app_id>`"}" --location Global --subscription <subscription_id>

既に Premium の使用量

次のエラー メッセージは、 Microsoft.GraphServices 型リソースが、別の名前のアプリに対して既に手動で作成されたことを示しています。 このリソースは課金目的で使用され、それ以上のアクションは必要ありません。

既に存在する課金リソースのエラーを示すスクリーンショット。

関連コンテンツ